安全性群組是一個邏輯上的分組,這個分組是由同一個地域(Region)內具有相同安全保護需求並相互信任的執行個體組成。每個執行個體至少屬於一個安全性群組,在建立的時候就需要指定。同一安全性群組內的執行個體之間預設私網網路互通,不同安全性群組的執行個體之間預設私網不通。可以授權兩個安全性群組之間互訪。

安全性群組是一種虛擬防火牆,具備狀態檢測包過濾功能。安全性群組用於設定單台或多台雲伺服器的網路存取控制,它是重要的網路安全隔離手段,用於在雲端劃分安全域。

安全性群組限制

  • 每個使用者在每個地域最少可建立100個安全性群組,並可以根據使用者會員等級的提高而增加。如需提高上限,可以 提交工單
  • 一個執行個體中的每個彈性網卡都預設最多可以加入5個安全性群組。如需提高上限,可以 提交工單,增加到10個或者16個安全性群組。
  • 安全性群組的網路類型分為經典網路和專有網路。
    • 經典網路類型的執行個體可以加入同一地域(Region)下經典網路類型的安全性群組。

      單個經典網路類型的安全性群組內的執行個體個數不能超過1000。如果您有超過1000個執行個體需要內網互訪,可以將他們分配到多個安全性群組內,並通過互相授權的方式允許互訪。

    • 專有網路類型的執行個體可以加入同一專有網路(VPC)下的安全性群組。

      單個VPC類型的安全性群組內的私網IP個數不能超過2000(主網卡和輔助網卡共用此配額)。如果您有超過2000個私網IP需要內網互訪,可以將這些私網IP的執行個體分配到多個安全性群組內,並通過互相授權的方式允許互訪。

  • 安全性群組是有狀態的。如果資料包在Outbound方向是被允許的,那麼對應的此串連在Inbound方向也是允許的。

更多資訊,請參見 安全性群組 FAQ

安全性群組規則

安全性群組規則可以允許或者禁止與安全性群組相關聯的Elastic Compute Service執行個體的公網和內網的入出方向的訪問。

您可以隨時授權和取消安全性群組規則。您的變更安全性群組規則會自動應用於與安全性群組相關聯的ECS執行個體上。

在設定安全性群組規則的時候,安全性群組的規則務必簡潔。如果您給一個執行個體分配多個安全性群組,則該執行個體可能會應用多達數百條規則。訪問該執行個體時,可能會出現網路不通的問題。

安全性群組規則限制

  • 每個安全性群組最多有100條安全性群組規則,即每個安全性群組的入方向規則與出方向規則的總數不能超過100。
  • 一個執行個體中的每個彈性網卡最多可以設定500條安全性群組規則。